Включение и отключение поиска в журнале аудита Office 365

Важно :  Данная статья переведена с помощью машинного перевода, см. Отказ от ответственности. Используйте английский вариант этой статьи, который находится здесь, в качестве справочного материала.

Перед тем как искать информацию в журнале аудита Office 365, вам (или другому администратору) необходимо включить ведение этого журнала. Если в Центре безопасности и управления доступом Office 365 включен поиск в журнале аудита, действия пользователей и администраторов организации регистрируются в этом журнале и хранятся в течение 90 дней. Однако организация может предпочесть не регистрировать данные журнала аудита или использовать для доступа к данным аудита стороннее приложение для управления данными и событиями безопасности (SIEM). В таком случае глобальный администратор может отключить поиск в журнале аудита для Office 365.

Подготовка

  • Для включения или отключения поиска в журнале аудита для организации Office 365 вам должна быть назначена роль "Журналы аудита" в Exchange Online. Эта роль по умолчанию назначена группам ролей "Управление соответствием требованиям" и "Управление организацией" на странице Разрешения в Центре администрирования Exchange. Глобальные администраторы Office 365 являются членами группы ролей "Управление организацией" в Exchange Online.

    Важно : Чтобы пользователь мог включать или отключать поиск в журнале аудита, ему должны быть назначены разрешения в Exchange Online. Если назначить пользователю роль "Журналы аудита" на странице Разрешения в Центре безопасности и соответствия требованиям, он не сможет включать или отключать поиск в журнале аудита. Это связано с тем, что командлет, используемый для этого, является командлетом Exchange Online.

  • Даже после отключения поиска в журнале аудита Office 365 можно использовать API управления действиями Office 365 для доступа к данным аудита для своей организации. После выполнения действий, описанных в этой статье, при поиске по журналам аудита через Центр безопасности и соответствия требованиям или с помощью командлета Search-UnifiedAuditLog в Exchange Online PowerShell, не будут возвращаться результаты. Однако если вы разрешили какому-то приложению получать доступ к данным аудита вашей организации через API управления действиями Office 365, это приложение будет и дальше получать доступ.

  • Пошаговые инструкции по поиску в журнале аудита Office 365 см. в статье Поиск по журналу аудита в Центре безопасности и соответствия требованиям Office 365.

Включение поиска в журнале аудита

Для включения поиска в журнале аудита Office 365 можно использовать Центр безопасности и соответствия требованиям или PowerShell. Поиск в журнале аудита может начать работать только спустя несколько часов после включения. Для включения поиска вам должна быть назначена роль "Журналы аудита" в Exchange Online.

Включение поиска в журнале аудита через Центр безопасности и соответствия требованиям

  1. Откройте Центр безопасности и соответствия требованиям и выберите пункты Поиск и исследование > Поиск в журнале аудита.

  2. Щелкните ссылку Запустить запись действий пользователей и администраторов.

    Щелкните ссылку "Запустить запись действий пользователей и администраторов", чтобы включить аудит

    Появится диалоговое окно с сообщением о том, что действия пользователей и администраторов в организации будут регистрироваться в журнале аудита Office 365 и их можно будет просмотреть в виде отчета.

  3. Нажмите кнопку Включить.

    Появится сообщение о подготовке журнала аудита, и через пару часов, когда она будет завершена, вы сможете начать поиск.

Включение поиска в журнале аудита через PowerShell

  1. Подключение к Exchange Online PowerShell

  2. Выполните следующую команду PowerShell, чтобы включить поиск в журнале аудита в Office 365:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Появится сообщение о том, что применение изменения может занять до 60 минут.

К началу

Отключение поиска в журнале аудита

Чтобы отключить поиск в журнале аудита, необходимо использовать удаленную оболочку PowerShell, подключенную к вашей организации Exchange Online. Как и для включения поиска, для его отключения вам должна быть назначена роль "Журналы аудита" в Exchange Online.

  1. Подключение к Exchange Online PowerShell

  2. Выполните следующую команду PowerShell, чтобы отключить поиск в журнале аудита в Office 365:

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
  3. Через некоторое время убедитесь в том, что поиск отключен. Это можно сделать двумя способами:

    • Выполните следующую команду в PowerShell:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

      Значение False для свойства UnifiedAuditLogIngestionEnabled указывает на то, что поиск в журнале аудита отключен.

    • В Центре безопасности и соответствия требованиям щелкните Поиск и исследование > Поиск в журнале аудита, а затем нажмите кнопку Поиск.

      Появится сообщение о том, что поиск в журнале аудита не включен.

      Если аудит отключен, появится сообщение

К началу

Примечание : Отказ от ответственности относительно машинного перевода. Данная статья была переведена с помощью компьютерной системы без участия человека. Microsoft предлагает эти машинные переводы, чтобы помочь пользователям, которые не знают английского языка, ознакомиться с материалами о продуктах, услугах и технологиях Microsoft. Поскольку статья была переведена с использованием машинного перевода, она может содержать лексические,синтаксические и грамматические ошибки.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×